ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Trojan-Spy.Win9x.Harrier

Clase Trojan-Spy
Plataforma Win9x
Descripción

Detalles técnicos

Al infectar un archivo PE EXE, el virus analiza su formato de archivo interno, crea una sección más al final del archivo y escribe allí su texto encriptado. La sección de virus continúa con la tabla de exportación del virus que utiliza el virus para vincular su código con las funciones necesarias de la API de Windows cuando se ejecuta un archivo infectado. Como el virus tiene su propia tabla Exportar, modifica el puntero al mismo en el encabezado PE. El virus también presta especial atención a la tabla de exportación del archivo principal original. Para guardarlo, el virus mueve los datos necesarios desde el mismo hasta el final del archivo y lo agrega a su propia tabla Exportar. Como resultado, cuando Windows carga archivos infectados, procesa las tablas de exportación de virus y host.

Para vincular su sección con el cuerpo del archivo de la víctima, el virus modifica los campos necesarios en el encabezado PE. El virus es muy preciso y, como resultado, en la mayoría de los casos no causa errores cuando se cargan archivos infectados, nunca bajo WinNT.

El virus detecta los archivos ya infectados con un sello que se guarda en el archivo LastWrite fecha y hora. Este valor de ID no es constante y depende de otros campos de la fecha y hora del archivo (el virus Rol / Ror / Xor-es cinco de ellos para agrupar la ID).

Trigger rutinas

Al instalar residente de memoria, el virus invoca tres de sus rutinas desencadenantes. El primero de ellos verifica el entorno del sistema y, dependiendo de ello, convierte el virus en el "modo de depuración". El segundo dependiendo del valor de segundos de la hora del sistema muestra el cuadro de mensaje:

El último depende del contador aleatorio de virus (que depende de la fecha y hora del sistema), en un caso de dieciséis, coloca los archivos OEMINFO.INI y OEMLOGO.BMP en el directorio del sistema de Windows. El archivo OEMLOGO.INI contiene las siguientes cadenas de texto en dos secciones:


[General]
Fabricante = TechnoRat
Modelo = Zona de vida muy grande para Harrier

[Información de soporte]
line1 = Hoy el virus no es el virus,
line2 = pero la parte del sistema operativo. . .
line3 = (C) por el 95-th Harrier de DarkLand
line4 = —
line5 = Se creó la bonita imagen del LOGOTIPO
line6 = por PolyGris y LionKing. Idea principal
line7 = y el código de todas las versiones fue desarrollado
line8 = por mí – TechnoRat
Este archivo BMP y las secciones "Generales" se muestran en la ventana "Propiedad del sistema" cuando se selecciona Mi Computadora / Propiedades. El virus "Información de soporte" se muestra cuando se presiona el botón correspondiente en la misma "Propiedad del sistema".

El "modo de depuración" del virus se activa cuando el entorno del sistema contiene una cadena específica ("Variable = Valor", se configura mediante "SET =" instrucción DOS, por ejemplo). Esta cadena tiene 19 símbolos y es detectada por el virus mediante el uso de un bucle CRC tonto. Este bucle CRC "comprime" la cadena a cuatro bytes, por lo que hay varios millones de variantes "legibles" de esta cadena.

Cuando el modo de depuración de virus está activado, muestra el cuadro de mensaje:

Luego, el virus en cada infección muestra un MessageBox e informa el permiso de las solicitudes para infectar un archivo, por ejemplo:

En "OK" el virus ejecuta la rutina de infección, en "Cancelar" el virus muestra un MessageBox más y sale:

Como se mencionó anteriormente, los ganchos USER32 y GDI32 son utilizados por virus en su rutina desencadenante: el virus cambia los textos que se muestran o genera sus propios mensajes.

Cuando una aplicación infectada llama a la función WinHelpA en la 16ª vez, el virus muestra su propio MessageBox en lugar de llamar a la función de Windows:


"95-th Harrier from DarkLand"
Dios ayudará! 😉
En cualquier llamada a MessageBoxA, el virus comprueba la hora del sistema y, dependiendo de ello, reemplaza el texto original en MessageBox con una de las seis variantes:


¡Error del sistema!
VXDs anillos overcrossed!
Error de procesador de modo de CPU!
CPU overclockeada, emergencia de dispositivo más fría!
¡El subsistema de ayuda está dañado!
¡Atención! Errores dentro de la computadora, use SoftIce.

En otras llamadas conectadas, el virus escanea el texto para cuatro variantes de subcadenas y las reemplaza con sus propias versiones:


MICROSOFT -> MIcrOSOFT
WINDOWS -> WINDOwS
BILL GATES -> Gill Bates
HARRIER -> ¡Oh! Chicos! ¿Es por mí?


Enlace al original